AmneziaWG ist ein Fork von WireGuard, der Verschleierung hinzufügt. Einfaches WireGuard hat feste Paket-Header und vorhersehbare Paketgrößen, sodass Deep Packet Inspection (DPI) es erkennen und blockieren kann. AmneziaWG randomisiert diese Signaturen: Es kann die Nachrichtentyp-Header ändern, Nachrichten auf variable Größen polstern und Junk-Pakete vor dem Handshake senden. Die Kryptografie und die Geschwindigkeit bleiben wie bei WireGuard — nur die Verkehrsform ändert sich.

Müssen die AmneziaWG-Parameter auf dem Server und dem Client übereinstimmen?

Die meisten, ja. Laut den offiziellen Amnezia-Dokumenten müssen S1, S2 und die vier Header H1, H2, H3 und H4 auf beiden Peers identisch sein — sie sagen jeder Seite, wo die echten Daten beginnen. Die Junk-Paket-Einstellungen Jc, Jmin und Jmax dürfen sich zwischen den Peers unterscheiden und werden auf der Client-Seite empfohlen. Wenn S1/S2 oder H1-H4 nicht übereinstimmen, wird der Handshake nie abgeschlossen.

Ist AmneziaWG langsamer als WireGuard?

Die Verschleierung fügt ein wenig Overhead hinzu — Junk-Pakete und Padding bedeuten ein paar zusätzliche Bytes pro Sitzung und pro Paket. In der Praxis ist der Einfluss gering, da das zugrunde liegende Protokoll weiterhin WireGuard ist. Für das tägliche Surfen auf einem kleinen VPS ist der Unterschied normalerweise nicht spürbar. Wenn Sie keine DPI-Resistenz benötigen, bleibt einfaches WireGuard die leichtere Wahl.

Kann ich AmneziaWG auf einem normalen VPS wie Contabo betreiben?

Ja. AmneziaWG wird auf einem Standard-Linux-VPS genauso installiert wie WireGuard. Auf Ubuntu und Debian gibt es ein offizielles PPA (ppa:amnezia/ppa), das das Kernel-Modul (mit DKMS) und die awg / awg-quick-Tools bereitstellt. Ein kleiner VPS mit vollem Root-Zugriff — zum Beispiel ein Contabo VPS S — reicht aus, um die Serverseite zu hosten.

Wann sollte ich AmneziaWG gegenüber einfachem WireGuard wählen?

Wählen Sie es, wenn Ihr Netzwerk aktiv WireGuard blockiert oder drosselt: Einige Mobilfunkanbieter, Unternehmensfirewalls und nationale Filtersysteme erkennen die WireGuard-Signatur. Für ein offenes Heim- oder Büronetzwerk ist einfaches WireGuard einfacher und es gibt keinen Grund, Verschleierung hinzuzufügen. AmneziaWG ist die Antwort auf Erkennung, kein Standard-Upgrade.

AmneziaWG: der DPI-resistente WireGuard-Fork, selbst gehostet (2026)

Affiliate-Hinweis — Dieser Artikel enthält Affiliate-Links zu Contabo. Wenn Sie über einen dieser Links einen VPS mieten, erhalten wir eine Provision ohne zusätzliche Kosten für Sie. Jeder untenstehende Befehl und Parameter ist aus dem offiziellen AmneziaWG-Projekt dokumentiert, nicht aus internen Tests.

WireGuard ist schnell, modern und einfach selbst zu hosten. Es hat eine Schwäche: Es ist leicht zu erkennen. Das Protokoll verwendet feste Paket-Header und vorhersehbare Paketgrößen, sodass ein Netzwerk, das Deep Packet Inspection (DPI) durchführt, WireGuard-Verkehr erkennen und blockieren kann. Genau das tun einige Mobilfunkanbieter, strenge Unternehmensfirewalls und nationale Filter.

AmneziaWG ist die Antwort auf dieses Problem. Es ist ein Fork von WireGuard, der die gleiche Kryptografie und Geschwindigkeit beibehält, aber die Form des Verkehrs ändert, sodass DPI ihn nicht mehr identifizieren kann. Diese Anleitung erklärt, was AmneziaWG tatsächlich tut, was jede Verschleierungseinstellung bedeutet und wie man die Serverseite auf einem eigenen VPS selbst hostet.

Warum einfaches WireGuard erkannt wird

DPI muss die Verschlüsselung nicht brechen, um Sie zu blockieren. Es muss nur das Muster erkennen. WireGuard macht es in drei Punkten einfach:

Feste Nachrichten-Header. Jedes WireGuard-Paket beginnt mit einem bekannten Typfeld. Ein Filter kann die ersten Bytes lesen und sagen: "Das ist ein WireGuard-Handshake."
Vorhersehbare Paketgrößen. Die Handshake-Nachrichten haben feste Längen. Ein Filter kann allein auf diese Längen abstimmen.
Ein klarer Handshake-Ausbruch. Die Verbindung öffnet sich immer auf die gleiche Weise, sodass der Beginn einer Sitzung hervorsticht.

Zusammen ergeben diese Merkmale eine klare Signatur für WireGuard. Sobald ein Netzwerk diese Signatur kennt, kann es die Pakete verwerfen und Ihr Tunnel verbindet sich einfach nie.

Was AmneziaWG ändert

AmneziaWG wird von seinen Autoren als eine zeitgemäße Version von WireGuard mit integrierter Verschleierung beschrieben. Es entfernt die Signatur mit einigen unabhängigen Werkzeugen. Sie aktivieren sie mit zusätzlichen Feldern im [Interface]-Abschnitt Ihrer Konfiguration.

Nahaufnahme eines Ubuntu-Terminals mit dem Prompt ubuntu@ubuntu:~$ sudo

Hier ist, was jede Gruppe von Einstellungen basierend auf der offiziellen Amnezia-Dokumentation bewirkt.

Junk-Pakete — Jc, Jmin, Jmax

Vor dem eigentlichen Handshake kann AmneziaWG eine kurze Serie von zufälligen "Junk"-Paketen senden.

Jc gibt an, wie viele Junk-Pakete gesendet werden sollen. Die Dokumentation empfiehlt einen Wert von 4 bis 12.
Jmin und Jmax legen den zufälligen Größenbereich für diese Pakete fest, empfohlen sind etwa 8 bis 80 Bytes.

Junk-Pakete verwischen den klaren Handshake-Ausbruch, den DPI sucht. Sie werden auf der Client-Seite empfohlen und können sich zwischen den beiden Peers unterscheiden.

Nachrichten-Padding — S1, S2

S1 und S2 fügen den Handshake-Nachrichten zufälliges Padding hinzu — S1 der Init-Nachricht und S2 der Antwort. Der empfohlene Bereich liegt ungefähr zwischen 15 und 150 Bytes. Dies bricht das "vorhersehbare Paketgrößen"-Signal: Die Nachrichten haben keine feste, abstimmbare Länge mehr.

Header-Randomisierung — H1, H2, H3, H4

H1 bis H4 ersetzen die festen Nachrichtentyp-Header von WireGuard durch Werte, die aus von Ihnen gewählten Bereichen stammen. Für jedes gesendete Paket wird ein zufälliger Wert aus dem Bereich ausgewählt; auf der anderen Seite wird jeder Wert innerhalb des Bereichs akzeptiert. Die vier Bereiche müssen sich voneinander unterscheiden und dürfen sich nicht überschneiden. Dies ist die Änderung, die die offensichtlichste WireGuard-Signatur löscht.

Die Regel, die die meisten Leute in Schwierigkeiten bringt: welche Parameter übereinstimmen müssen

Hier scheitern die meisten fehlgeschlagenen Setups, daher verdient es einen eigenen Abschnitt.

Laut der offiziellen Amnezia-Dokumentation: Alle Parameter müssen zwischen Client und Server gleich sein, außer Jc, Jmin und Jmax, die variieren dürfen.

In einfachen Worten:

S1, S2, H1, H2, H3, H4 → müssen identisch auf beiden Peers sein. Sie sagen jeder Seite, wo die echten, bedeutungsvollen Daten beginnen. Wenn sie nicht übereinstimmen, kann der Empfänger das echte Paket nicht finden und der Handshake schlägt stillschweigend fehl.
Jc, Jmin, Jmax → dürfen sich unterscheiden pro Peer. Sie werden auf dem Client empfohlen.

Die Lösung für "AmneziaWG verbindet sich nicht" ist fast immer die gleiche: Überprüfen Sie, ob die Header und das Padding auf beiden Enden genau übereinstimmen.

Selbsthosting des Servers auf einem VPS

AmneziaWG wird auf einem normalen Linux-VPS genauso installiert wie WireGuard. Sie benötigen einen Server mit vollem Root-Zugriff und einer öffentlichen IPv4-Adresse. Eine kleine Box wie ein Contabo VPS S für 4,99 €/Monat reicht aus, und Sie können dieselbe Maschine wiederverwenden, die bereits Ihr WireGuard-Setup betreibt.

Installation auf Ubuntu oder Debian

Das Amnezia-Projekt stellt ein offizielles PPA bereit. Auf Ubuntu:

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

Das Paket stellt das Kernel-Modul bereit — mit DKMS-Unterstützung auf fähigen Systemen, sodass es nach Kernel-Upgrades neu erstellt wird — und die Benutzerwerkzeuge. Die Befehlszeilenwerkzeuge sind awg und awg-quick, die wg und wg-quick spiegeln. Wenn Sie WireGuard bereits kennen, ist der Arbeitsablauf derselbe.

Schreiben der Serverkonfiguration

Erstellen Sie /etc/amnezia/amneziawg/awg0.conf. Es sieht aus wie eine WireGuard-Konfiguration plus die Verschleierungsfelder in [Interface]:

[Interface]
PrivateKey = <server-private-key>
Address = 10.13.13.1/24
ListenPort = 51820

# Verschleierung — diese müssen auch auf dem Client übereinstimmen
Jc = 8
Jmin = 8
Jmax = 80
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.13.13.2/32

Wählen Sie Ihre eigenen Zufallswerte — die obigen Zahlen sind Platzhalter. Die einzigen festen Regeln sind: Halten Sie S1/S2 und H1-H4 innerhalb der empfohlenen Bereiche, halten Sie die vier H-Bereiche unterschiedlich und kopieren Sie S1, S2, H1, H2, H3, H4 genau in die Client-Konfiguration.

Bringen Sie den Tunnel hoch:

sudo awg-quick up awg0

Überprüfen Sie es mit sudo awg show, genauso wie Sie wg show ausführen würden.

Die passende Client-Konfiguration

Die Client-Konfiguration wiederholt die gleichen S- und H-Werte. Nur die Junk-Einstellungen dürfen sich unterscheiden:

[Interface]
PrivateKey = <client-private-key>
Address = 10.13.13.2/24
DNS = 10.13.13.1

# Muss mit dem Server übereinstimmen
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281
# Darf sich vom Server unterscheiden
Jc = 10
Jmin = 8
Jmax = 80

[Peer]
PublicKey = <server-public-key>
Endpoint = your-vps-ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Es gibt offizielle AmneziaWG-Clients für Windows, Apple-Plattformen, Android und die Benutzerraum-Implementierung amneziawg-go, sodass derselbe Server mit Desktop und Mobilgeräten funktioniert.

AmneziaWG vs. einfaches WireGuard — wann welches verwenden

AmneziaWG ist kein direkter Upgrade. Es ist ein gezieltes Werkzeug. Verwenden Sie diesen schnellen Leitfaden:

Offenes Heim- oder Büronetzwerk → einfaches WireGuard. Es ist einfacher und es gibt nichts zu verbergen.
Anbieter, Firewall oder Land, das WireGuard blockiert → AmneziaWG. Die Verschleierung ist der ganze Punkt.
Sie möchten den leichtesten möglichen Tunnel → einfaches WireGuard. Verschleierung fügt ein wenig Overhead hinzu.
Sie hosten bereits WireGuard selbst und es hat aufgehört, sich in einem neuen Netzwerk zu verbinden → versuchen Sie AmneziaWG auf demselben VPS, bevor Sie annehmen, dass der Server defekt ist.

Die ehrliche Zusammenfassung: AmneziaWG löst Erkennung, nicht Geschwindigkeit und nicht Privatsphäre. Die Verschlüsselung ist das gleiche WireGuard, dem Sie bereits vertrauen. Was sich ändert, ist, ob ein Filter es sehen kann.

Weiterführende Informationen

Selbst gehostetes VPN auf Contabo: vollständiger WireGuard-Leitfaden 2026
Cloak HTTPS-Verschleierung für ein selbst gehostetes VPN
Anti-DPI VPN-Umgehung: welche Stacks 2026 noch funktionieren
WireGuard vs. OpenVPN: ein tiefer Einblick
WireGuard-Konfigurationsgenerator — erstellen Sie eine saubere Basiskonfiguration in weniger als einer Minute

Quellen und Referenzen:

Veröffentlicht am 2026-06-23. Alle Parameter, Bereiche und Installationsschritte stammen aus der offiziellen AmneziaWG-Projektdokumentation und den oben verlinkten Repositories. Bestätigen Sie immer die aktuellen empfohlenen Werte in den offiziellen Dokumenten, bevor Sie sie bereitstellen, da das Projekt sie im Laufe der Zeit aktualisiert.

Erinnerung: WireGuard, AmneziaWG und das Selbsthosting Ihres eigenen VPNs sind in der EU, den USA, Kanada und den meisten demokratischen Ländern legal. VPNSmith veröffentlicht diesen Inhalt zu Bildungszwecken.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Ein VPS, den du komplett kontrollierst, für Tunneling & Verschleierung → ContaboRoot-Zugriff · jeden Port öffnen · deinen eigenen Stack betreiben→